My-library.info
Все категории

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин. Жанр: Прочая околокомпьтерная литература год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей
Дата добавления:
4 март 2023
Количество просмотров:
66
Читать онлайн
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин - описание и краткое содержание, автор Олег Скулкин, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.

Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей читать онлайн бесплатно

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - читать книгу онлайн бесплатно, автор Олег Скулкин
первоначального доступа, а по завершении постэксплуатации и кражи данных им нужно будет развернуть программу-вымогатель.

В некоторых случаях на этом этапе может быть задействована отдельная команда злоумышленников, включая брокера первоначального доступа.

Доставка — это часть жизненного цикла атаки. Другой распространенный метод — установка дополнительной лазейки перед развертыванием. Как мы видели, большинство современных злоумышленников прибегают к этому, чтобы быть уверенными в том, что они не потеряют соединение или не будут заблокированы.

Эксплуатация

Обычно этот этап связан с эксплуатацией уязвимостей для запуска инструментов.

Разумеется, вы помните об уязвимостях, связанных с Microsoft Office, Microsoft Exchange и другими программами, но помимо них злоумышленники могут пользоваться человеческими уязвимостями, применяя для этого множество методов, основанных на фишинге.

Кроме того — особенно когда речь идет о развертывании программ-вымогателей — злоумышленники могут использовать различные встроенные функции и «подручные средства», то есть имеющиеся функции взломанных систем, чтобы обойти защиту и действовать незаметно.

Установка

На этом этапе злоумышленники должны закрепить доставленные инструменты в скомпрометированной системе, чтобы обеспечить резервный доступ к ней. Речь идет не о какой-то одной программной закладке, а об обширном наборе инструментов. Злоумышленники могут воспользоваться учетными данными к общедоступным серверам, организовать VPN-доступ к скомпрометированной сети, установить легитимное программное обеспечение для удаленного доступа и т. д.

Важно, что на этом этапе может существовать несколько установок инструментов и несколько рабочих каталогов, включая фальшивые каталоги, которые создаются, чтобы отвлечь специалиста по реагированию от инструментов, предназначенных для «боевого» использования.

Управление и контроль

После успешной установки злоумышленники должны обеспечить возможность взаимодействия со скомпрометированным хостом извне.

Как вы уже знаете, операторы программ-вымогателей могут использовать различные инструменты и технологии: боты, RAT, веб-шеллы и даже легитимное программное обеспечение для удаленного доступа. То, какие именно каналы коммуникации будут задействованы, во многом зависит от предпочтений злоумышленников.

Целевые действия

На этом этапе описываются все действия, предпринимаемые злоумышленниками для достижения поставленных целей. Он охватывает весь процесс постэксплуатации и может включать повышение привилегий, доступ к учетным данным, горизонтальное перемещение, а также кражу данных и развертывание программ-вымогателей.

Cyber Kill Chain® была разработана довольно давно и в настоящее время уже несколько устарела, поскольку описывает преимущественно начальный этап атаки. Рассмотрим более современную версию — MITRE ATT&CK®.

MITRE ATT&CK®

ATT&CK — это глобально доступная база знаний о стратегиях и процедурах злоумышленников, основанная на реальных наблюдениях. Она разработана и поддерживается корпорацией MITRE при участии глобального сообщества кибербезопасности.

Мы уже ссылались на эту базу знаний в этой книге. Я рекомендую ознакомиться с документом «MITRE ATT&CK®: дизайн и философия» (MITRE ATT&CK®: Design and Philosophy,  https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf).

В MITRE ATT&CK® описано 14 тактических действий преступников:

Разведка.

Подготовка ресурсов.

Первоначальный доступ.

Выполнение.

Закрепление.

Повышение привилегий.

Обход защиты.

Доступ к учетным данным.

Обнаружение.

Горизонтальное перемещение по сети.

Сбор данных.

Управление и контроль.

Кража данных.

Воздействие.

Рассмотрим каждое действие отдельно.

Разведка

Преступник собирает информацию о цели. Как обсуждалось ранее, злоумышленники могут использовать для создания профиля потенциальной жертвы и получения информации, необходимой для начала атаки, как пассивные, так и активные методы.

Есть много способов разведки. Одни взломщики предпочитают использовать инструменты двойного назначения, в то время как другие все делают вручную — это зависит от того, что будет эффективнее работать в каждом конкретном случае.

Подготовка ресурсов

Это отдельный этап, на котором злоумышленники занимаются подготовкой инфраструктуры — настраивают серверы, регистрируют домены, готовят фишинговые письма, получают программы-вымогатели или другие виды вредоносных программ и инструментов от сторонних поставщиков и т. д.

Первоначальный доступ

Злоумышленники, в том числе лица, связанные с программами-вымогателями, могут использовать различные методы для получения первоначального доступа к целевой сети. Как вы уже знаете, они могут использовать общедоступные приложения, целевой фишинг, а также злоупотреблять службами удаленного доступа или доверительными отношениями для перехода из одной скомпрометированной сети в другую.

Выполнение

В течение жизненного цикла атаки злоумышленникам необходимо запускать различные команды и бинарные файлы. Это могут быть инструменты, загруженные и запущенные с помощью вредоносных макросов, встроенных в документ Microsoft Office, различные разведывательные команды, выполняемые через веб-шелл, или двоичный файл программы-вымогателя, запускаемый на удаленном хосте с помощью PsExec.

Закрепление

Взломщикам нужно удерживать занятые позиции. Для резервного доступа к взломанной сети они могут использовать как легитимное программное обеспечение удаленного доступа, так и более традиционные методы сохранения при перезагрузке, например редактирование реестра или создание запланированных задач.

Повышение привилегий

Во многих случаях для эффективного запуска действий постэксплуатации злоумышленникам не хватает привилегий — а значит, их нужно повысить. Для этого операторы программ-вымогателей могут использовать различные ошибки конфигурации и уязвимости, а также некоторые методы закрепления.

Обход защиты

Развертывание программ-вымогателей практически невозможно без отключения продуктов безопасности, установленных в целевой сети. Более того, на протяжении всего жизненного цикла атаки злоумышленникам приходится избегать обнаружения, поэтому они запутывают/шифруют свои инструменты и удаляют улики и файлы журналов, чтобы затруднить расследование и процесс реагирования.

Доступ к учетным данным

Обычно в ходе жизненного цикла атаки пользователям программ-вымогателей требуется доступ к различным серверам, например, для кражи данных или удаления резервных копий. Для этого им нужны соответствующие учетные данные. Вы уже знаете, что злоумышленники могут выгрузить их из памяти, извлечь из различных хранилищ паролей или, например, провести атаку kerberoasting.

Обнаружение

Для эксфильтрации наиболее конфиденциальных данных и развертывания программ-вымогателей на максимально возможном количестве хостов злоумышленникам необходимо найти информацию об установленном программном обеспечении, учетных записях, общих сетевых ресурсах и удаленных хостах.

Горизонтальное перемещение по сети

Пользователи программ-вымогателей в основном ориентируются на корпоративные сети, поэтому им нужно перемещаться от одной скомпрометированной системы к другой. В большинстве случаев они используют легитимные учетные данные и протоколы, такие как RDP и SMB.

Сбор данных

Для того чтобы украсть ценные данные и разместить их на DLS, сначала их нужно собрать. Злоумышленники могут извлекать данные из локальных систем, общих сетевых дисков, электронных писем и других источников конфиденциальных данных.

Управление и контроль

Чтобы избежать обнаружения в процессе взаимодействия со скомпрометированными системами, мошенники могут имитировать обычный трафик, запутывать или шифровать передаваемые данные или, например, использовать для подключения прокси-сервер.

Кража данных

Пользователи программ-вымогателей могут красть собранные данные, задействуя канал управления и контроля, а также различные веб-сервисы. Перед извлечением данные могут быть заархивированы и/или зашифрованы.

Воздействие

Основная цель большинства операторов программ-вымогателей — шифрование данных в целевых системах. При этом они всегда пытаются помешать восстановлению системы, уничтожая как встроенные, так и сторонние резервные копии.

Обе модели — Cyber Kill Chain® и MITRE ATT&CK® — имеют свои преимущества и недостатки, поэтому некоторые исследователи пытаются создать на их основе новые модели. Яркий пример — Unified


Олег Скулкин читать все книги автора по порядку

Олег Скулкин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей отзывы

Отзывы читателей о книге Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей, автор: Олег Скулкин. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.